Управление пользователями AIX 5L с помощью LDAP

Поддержка клиентов Active Directory

Обзор усовершенствований службы каталогов Lightweight Directory Access Protocol (LDAP) в ОС AIX 5L V5.3 TL5, в том числе поддержки Active Directory, поддержки множественных базовых имен distinguish name (DN) и расширенный формат базовых имен DN.

Янтиан Лю, инженер по программному обеспечению, IBM

Фото Тома ЛюТом Лю (Tom Lu) занимает должность инженера по программному обеспечению в офисе IBM в Остине в отделе безопасности AIX. Том занимается разработкой программного обеспечения уже более восьми лет. Он специализируется на внедрении программного обеспечения на базе LDAP и является ведущим архитектором основанного на LDAP механизма управления пользователями в AIX. В настоящее время Том – один из основных разработчиков новых функций безопасности AIX, которые будут реализованы в следующей версии этой операционной системы. Связаться с ним можно по адресу ylu@us.ibm.com.



Рави A. Шанкар, разработчик программного обеспечения, IBM

Фото Рави ШанкараРави Шанкар (Ravi Shankar) занимает должность Software Engineer в офисе IBM в Остине и является архитектором службы безопасности AIX. Рави более 15 лет занимается разработкой программного обеспечения UNIX и самой этой операционной системы. Он работает в IBM более 11 лет, участвовал во многих проектах и обладает глубокими знаниями операционной системы UNIX. Работа Рави связана с разработкой и внедрением средств безопасности AIX. Связаться с ним можно по адресу shanravi@us.ibm.com.



18.04.2007

Введение

Управление пользователями, основанное на службе каталогов Lightweight Directory Access Protocol (LDAP), широко используется в операционной системе AIX 5L™. Клиенты зачастую используют LDAP или LDAP вместе с Kerberos для аутентификации и управления пользователями. LDAP предлагает централизованный механизм для поддержания конфигурации системы и управления политиками. Это позволяет клиентам конфигурировать и управлять многочисленными системами, используя единый набор конфигураций идентификационных данных пользователей, и облегчает системное администрирование. Клиент AIX 5L LDAP поддерживает централизованное управление административными базами данных для пользователей, групп, а для систем – настройку сетевых параметров.

Терминология

В этой статье мы будем использовать следующие термины и определения:

Таблица 1. Терминология
ТерминОписание
Службы Active Directory Служба каталогов, поддерживаемая Microsoft® Active Directory Server
AIX 5L V5.3 TL 05AIX 5L Service Release Technology Level 05
LDAPПротокол службы каталогов Lightweight Directory Access Protocol - открытый стандарт для безопасного хранилища идентификационных данных пользователей и механизма аутентификации
SFU Программный модуль "Microsoft's Services For UNIX®" - обеспечивает для Active Directory конфигурацию, похожую на сервер LDAP, соответствующий RFC 2307

Обзор управления пользователями в AIX 5L LDAP

Этот раздел описывает особенности управления пользователями в LDAP операционной системы AIX 5L V5.3 до выхода версии TL5. Все особенности детально описаны в документации AIX®, white paper "Configuring an AIX Client System for User Authentication and Management through LDAP" и руководстве IBM Redbooks Configuring an AIX Client System for User Authentication and Management through LDAP (см. Ресурсы).

Операционная система AIX одной из первых реализовала управление пользователями на основе LDAP еще в 1990 году. С принятием рабочих предложений (Request for Comment - RFC) 2307 в качестве стандарта ведения идентификационных записей пользователей и групп операционные системы стандартизировали поддержку каталогов. Управление AIX 5L LDAP было приведено к стандарту RFC 2307, что позволяет клиентам управлять системами AIX 5L наряду с другими системами, соответвующими RFC 2307.

Отметим основные возможности управления пользователями AIX 5L на базе LDAP:

Поддержка полного набора атрибутов пользователя и группы пользователей AIX 5L
Если сервер LDAP развернут на платформе операционной системы AIX 5L (со стеком программного обеспечения LDAP для AIX 5L), то операционная система AIX 5L поддерживает ряд атрибутов, которых нет в RFC 2307, и обеспечивает дополнительные средства управления регистрацией пользователей в системе. Операционная система AIX 5L обеспечивает полный набор средств управления паролем и регистрацией пользователя. (Некоторые атрибуты уникальны для AIX 5L и документированы в руководстве AIX 5L Version 5.3 Security guide. (См. Ресурсы).

Операционная система AIX 5L поддерживает следующие базы данных LDAP:

  • Определенная в RFC 2307 и другая информация о пользователях и группах пользователей
  • Таблицы конфигураций Advanced Accounting

Полная интеграция с инструментами и командами управления пользователями AIX 5L
Управление, связанное с LDAP, может осуществляться на основе тех же наборов команд и интерфейсов System Management Interface Tool (SMIT), которые хорошо известны клиентам. Операционная система AIX 5L обеспечивает интерфейсы LDAP для простого конфигурирования клиентов и сервера LDAP.

Операционная система AIX 5L также предоставляет инструменты для перенесения конфигурационной информации из локальных файлов в базу данных LDAP.

Обеспечение автоматического монтирования (Automount support)
Операционная система AIX 5L обеспечивает возможность автоматического монтирования пользовательских домашних каталогов, используя файловую систему Network File System (NFS).
Многосерверная конфигурация и возможность переключения при отказе
Операционная система AIX 5L может быть сконфигурирована на использование нескольких LDAP серверов для извлечения информации о конфигурации и задания приоритетов этих серверов, что обеспечит дублирование информации сервера LDAP. При отказе основного сервера LDAP, операционная система AIX 5L автоматически переключится на другой сервер.

Поддерживаемые серверы LDAP

Управление пользователями LDAP в AIX 5L может быть достигнуто путем конфигурирования серверов AIX 5L как клиентов для серверов LDAP. Управление пользователями и группами пользователей AIX 5L, основанное на LDAP, поддерживает серверы службы каталогов:

  • IBM Tivoli® Directory Servers - рекомендуемые серверы LDAP
  • Серверы служб каталогов других компаний (не IBM)
  • Сервер Microsoft Active Directory

IBM Tivoli Directory Server

Рекомендуется использовать IBM Tivoli Directory Server для управления с помощью LDAP пользователями и группами пользователей в AIX 5L. В IBM Tivoli Directory Server есть встроенная поддержка схем, соответствующая RFC 2307, и он поддерживает расширенный набор атрибутов пользователя и группы пользователей AIX 5L. IBM Tivoli Directory Server обеспечивает использование трех типов схем для пользователя или группы пользователей: AIX, rfc2307 и rfc2307aix.

Тип схемы rfc2307aix соответствует спецификации RFCS 2307, поэтому другие операционные системы (такие как Linux) можно настроить для использования этой информации. Эта схема содержит расширенную информацию, определенную для AIX 5L, например, дополнительные средства управления пользователями, политики ведения учёта и так далее. Рекомендуется использовать тип схемы rfc2307aix для пользователей и групп пользователей.

Использование схемы типа AIX рекомендуется только для тех случаев, когда сервер должен поддерживать системы с операционной системой AIX 5L V5.1 и более ранних версий. Другие операционные системы, кроме AIX 5L, могут не поддерживать IBM Tivoli Directory Server с типом схемы AIX для управления пользователями.

Серверы службы каталогов других компаний

Серверы AIX 5L могут быть настроены для использования серверов LDAP, разработанных не в IBM, но с определенными ограничениями. Операционная система AIX 5L поддерживает подобные конфигурации как для серверов LDAP, соответствующих RFC 2307, так и не соответствующих этому стандарту. Сложность конфигурации и уровень зависят от наличия поддержки RFC 2307 и описаны детально в последующих разделах.

Серверы службы каталогов, соответствующие RFC 2307
Клиент LDAP в AIX 5L может быть настроен для использования разработанного третьими фирмами серверов LDAP для управления пользователями и группами пользователей при условии, что сервер поддерживает соответствующую RFC 2307 информацию о пользователях и группах пользователей, а также протокол LDAP версии 3.

Клиенты AIX 5L, работающие с такими серверами, не будут поддерживать все функции управления пользователями или группами пользователей. Так как эти серверы обычно не поддерживают атрибуты пользователя и группы пользователей, специфичные для AIX 5L, то нельзя использовать некоторые более точные средства управления AIX 5L.

Серверы службы каталогов, не соответствующие RFC 2307
Операционная система AIX 5L не поддерживает не соответствующие RFC 2307 серверы каталогов, однако, AIX 5L может работать с этими серверами, если они будут содержать необходимые наборы атрибутов, заданные в RFC 2307 (даже если информация хранится в несоответствующем RFC 2307 формате). В таком случае администратор должен преобразовать данные из каталогов в формат RFC 2307 путем создания файлов отображения для клиента AIX 5L. Операционная система AIX 5L обеспечивает механизм преобразования данных для таких случаев.

См. " LDAP Attributing Mapping File Format" в руководстве AIX 5L Security Guide (см. Ресурсы), где дана подробная информация о схеме формата файла и схеме использования файла.

Microsoft Active Directory

Клиент AIX 5L службы каталогов LDAP может быть настроен для использования сервисов Active Directory. Основанная на Active Directory пользовательская и групповая информация эволюционировала от версии к версии Microsoft® Windows®, поэтому администратор должен внимательно прочесть этот раздел и установить необходимую конфигурацию для клиента AIX 5L службы каталогов LDAP.

В версиях Windows 2000 и Windows 2003 технология Active Directory может отображать информацию пользователя по принятой в UNIX схеме с помощью пакета Windows Service For UNIX. Чтобы клиенты AIX 5L могли аутентифицироваться по информации из Active Directory, нужно установить сервис "Windows services for UNIX" на систему, на которой развернуты сервисы Active Directory, затем сконфигурировать клиентов AIX 5L. Подробнее о конфигурации читайте далее.

Операционная система AIX 5L поддерживает сервисы Active Directory в версиях Windows 2000 и 2003 с сервисами для схемы UNIX (SFU) schema Version 3.0 и 3.5.

При использовании Active Directory на базе Windows 2003 R2 нет необходимости в дополнительном уровне Windows Services for UNIX (SFU). Схема UNIX поддержки в Windows 2003 R2 отличается от схем сервисов для UNIX 3.0 и 3.5. Операционная система AIX 5L для поддержки Active Directory с помощью схемы Windows 2003 R2 использует APAR IY91514. Чтобы проверить, инсталлирован ли этот APAR, запустите команду:

# instfix -ik APAR IY91514

Из-за разницы в управлении пользователями и группами пользователей в операционной системе AIX 5L и системах Windows некоторые команды AIX 5L могут не функционировать при работе с Active Directory в качестве центрального LDAP–сервера, например, mkuser и mkgroup. Остальные перечисленные ниже команды должны работать при наличии соответствующих прав доступа, заданных операционной системой AIX 5L для Active Directory:

  • lsuser
  • chuser
  • rmuser
  • lsgroup
  • chgroup
  • rmgroup
  • id
  • groups
  • passwd
  • chpasswd (только в режиме unix_auth)

Настройка клиента AIX 5L для использования сервера Windows

Операционная система AIX 5L поддерживает механизм аутентификации двух пользователей для серверов Windows: аутентификация на основе LDAP и аутентификация на основе Kerberos. С помощью этого механизма операционная система AIX 5L обеспечивает идентификацию пользователя по протоколу LDAP в Active Directory, причем наличие учетной записи пользователя в операционной системе AIX 5L не является обязательным.

Перед конфигурированием операционной системы AIX 5L нужно выполнить следующие действия на сервере Windows:

  1. В Active Directory должна быть установлена схема поддержки UNIX.
  2. В Active Directory должны быть прописаны все пользователи UNIX.
  3. Для аутентификации Kerberos главные правила (host principle) должны быть заданы на сервере Windows.

Для получения дополнительной информации по установке схем на Active Directory и настройке параметров пользователей Active Directory для работы с UNIX обратитесь к соответствующей документации Microsoft.

Для аутентификации в LDAP администраторы могут использовать команду mksecldap для конфигурирования клиента AIX 5L LDAP на сервере Active Directory аналогично процедуре с IBM Tivoli Directory Server. Команда mksecldap опрашивает удаленный сервер каталогов, проверяет, основан ли он на Active Directory, и соответственно конфигурирует операционную систему AIX 5L.

Для аутентификации на основе Kerberos необходимо настроить Kerberos в дополнение к LDAP.

Следующие разделы описывают поэтапно шаги конфигурации аутентификации LDAP и Kerberos на серверах Windows.

Конфигурация AIX 5L для работы с Active Directory в режиме unix_auth

# mksecldap -c -h <Active Directory hostname> -a
<cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=com> -p <password>

Где:

  • Active Directory hostname - это ваш сервер Windows Active Directory.
  • cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=com - это пример удостоверения пользователя для связывания (bind credential). Это может быть учетная запись пользователя, заданная в Active Directory. Для успешной аутентификации этот пользователь должен иметь право на чтение паролей пользователей в UNIX из Active Directory, а для изменения пароля - еще и право на запись паролей UNIX пользователей в Active Directory.
  • password - это пароль указанной выше учетной записи пользователя binduser.

Так конфигурируется операционная система AIX 5L для работы с указанным сервером Active Directory. Режим аутентификации должен быть установлен в режиме unix_auth. Демон (программа) secldapclntd свяжется с Active Directory, используя идентификатор cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=comcn. Вы можете заменить cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=comcn другим действительным пользователем, заданным в вашем Active Directory. Эта учетная запись пользователя в Windows может использоваться только для связывания системы клиентов UNIX с сервером Active Directory.

После успешного завершения команды mksecldap проверьте файл /etc/security/ldap/ldap.cfg и убедитесь, что userbasedn и groupbasedn указывают на выбранное вами базовое имя distinguished name (DN). По умолчанию mksecldap сохраняет первые базовые DN из Active Directory для действительных пользователей и групп пользователей в файле /etc/security/ldap/ldap.cfg.

Если большинство пользователей постоянно находятся в контейнере cn=users, например, и userbasedn и groupbasedn не определены, то нужно вручную исправить userbasedn и groupbasedn. После сохранения изменений в файл /etc/security/ldap/ldap.cfg, перезапустите демона secldapclntd с помощью следующей команды для того, чтобы сделанные изменения вступили в силу:

# restart-secldapclntd

Операционная система AIX 5L также поддерживает множественные базовые имена DN. (см. раздел Поддержка множественных базовых DN).

Для проверки конфигурации клиента AIX 5L LDAP, запустите команду lsuser для отображения списка пользователей, заданных в Active Directory:

# lsuser –R LDAP <username>

где username должно совпадать с именем действительного пользователя, заданного в Active Directory.

Чтобы позволить пользователю Windows войти в систему AIX 5L, администратор должен правильно установить атрибуты SYSTEM и registry пользователя с помощью следующей команды операционной системы AIX 5L:

# chuser -R LDAP SYSTEM=LDAP registry=LDAP foo

где foo - один из пользователей, заданных в Active Directory. После выполнения изменений пользователь foo может войти в операционную систему AIX 5L.

Заметьте, что серверы Windows 2000 и 2003 устанавливают пароль UNIX для пользователей с поддержкой UNIX при изменении пароля Windows. Пользователь может войти в систему AIX 5L, используя этот пароль, пока этот пароль не изменится в операционной системе AIX 5L. На время написания данной статьи Windows 2003 R2 не могла устанавить пароль UNIX при изменении пароля Windows, поэтому пользователь root должен запустить команду passwd операционной системы AIX 5L для установки пароля UNIX для пользователя Windows так, чтобы он мог войти в АIX.

Чтобы не повторять все эти процедуры для каждого пользователя Windows, которому нужно войти в систему AIX 5L, администратор может вручную отредактировать файл /etc/security/user и установить атрибуты SYSTEM и registry параметров по умолчанию в LDAP. Если среди параметров default этих атрибутов нет, то их нужно добавить. Тогда параметры по умолчанию будут выглядеть примерно так:

default:
	...
	SYSTEM = "LDAP"
	registry = LDAP
	...

Если параметр по умолчанию изменен на LDAP, то определенные локально пользователи не смогут войти в систему AIX 5L до тех пор, пока их SYSTEM не будет установлен в значение "compat", а registry не будет установлен в значение "files". Администратор должен идентифицировать эти учетные записи и запустить следующие команды для каждого пользователя, чтобы осуществить изменения.

# chuser SYSTEM=compat registry=files <local user>

Конфигурация AIX 5L для работы с Active Directory с использованием режима аутентификации ldap_auth

# mksecldap -c -h <Active Directory hostname> -a
<cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=com> -p <password> -A ldap_auth

Где:

  • Active Directory hostname - это ваш сервер Windows Active Directory.
  • cn=binduser,cn=users,dc=ADdomain,dc=abc,dc=com - это пример удостоверения для связывания (bind credential). Оно может быть учетной записью, заданной в Active Directory.
  • password - это пароль этой учетной записи binduser.

Для проверки конфигурации клиента AIX 5L LDAP запустите команду lsuser для отображения списка пользователей, заданных в Active Directory:

# lsuser -R LDAP <username>

где username должно совпадать с одним из пользователей в Active Directory.

ЗАМЕЧАНИЕ: Если вы не установили APAR IY91514 (смотрите раздел Microsoft Active Directory, где описано, как проверить, инсталлирован ли APAR), атрибут spassword из AIX 5L может не отображаться в правильный атрибут пароля в Active Directory, что приведет к невозможности аутентифицировать пользователя с правильным паролем. Для достижения соответствия выполните следующие шаги:

  1. Отредактируйте файл /etc/security/ldap/sfu30user.map, найдите строку, начинающуюся со слова spassword, например,
    spassword   SEC_CHAR    msSFU30Password     s

    и замените фразу msSFU30Password фразой unicodePwd (значение msSFU30Password дано для примера, вместо него может стоять другое значение).

    Строка будет выглядеть следующим образом:

    spassword   SEC_CHAR    unicodePwd    s

    Сохраните файл.

  2. Перезапустите демона secldapclntd для сохранения изменений:
    # restart-secldapclntd

Чтобы разрешить пользователю Windows регистрироваться в операционной системе AIX 5L, администратор должен правильно установить атрибуты пользователя SYSTEM и registry с помощью следующей команды операционной системы AIX 5L:

# chuser -R LDAP SYSTEM=LDAP registry=LDAP foo

где foo один из пользователей, заданных в Active Directory.

После выполнения изменений, пользователь foo может войти в операционную систему AIX 5L с паролем Windows.

Чтобы не повторять все эти процедуры для каждого пользователя Windows, которому нужно войти в систему AIX 5L, администратор может вручную отредактировать файл /etc/security/user и установить атрибуты SYSTEM и registry параметров по умолчанию в LDAP. Если среди параметров default этих атрибутов нет, то их нужно добавить. Тогда параметры по умолчанию будут выглядеть примерно так:

default:
	 ...
	 SYSTEM = "LDAP"
	 registry = LDAP
	 ...

Если параметр по умолчанию изменен на LDAP, то определенные локально пользователи не смогут войти в систему AIX 5L до тех пор, пока их SYSTEM не будет установлен в значение "compat", а registry не будет установлен в значение "files". Администратор должен идентифицировать эти учетные записи и запустить следующие команды для каждого пользователя, чтобы осуществить изменения.

# chuser SYSTEM=compat registry=files <local user>

Команда AIX 5L passwd операционной системы AIX 5L обеспечивает изменение пароля unicodePwd пользователей Windows. Windows Active Directory требует, чтобы изменение пароля через LDAP выполнялось через безопасное соединение. Посмотрите руководство "Integrating AIX into Heterogeneous LDAP Environments" Redbook (в разделе Ресурсы) для конфигурации SSL в операционной системе AIX 5L для работы с Active Directory. Операционная система AIX 5L также требует APAR IY91922 для изменения пароля unicodePwd. Чтобы проверить, инсталлирован ли APAR, запустите команду:

# instfix -ik APAR IY91922

Настройка операционной системы AIX 5L для аутентификации с помощью Kerberos ключей Windows Key Distribution Center
Кроме аутентификации пользователей через LDAP, AIX 5L обеспечивает аутентификацию в Windows по протоколу Kerberos. Преимуществом Kerberos является усиленная защита, поскольку в Kerberos пароль не передается по сети. Использование Kerberos наряду с LDAP позволяет аутентифицировать пользователя с помощью Kerberos по ключу Windows Key Distribution Center (KDC) в сочетании с идентификацией пользователя в Active Directory по протоколу LDAP. Поскольку информация о пользователе извлекается из Active Directory, то отпадает необходимость в создании соответствующей идентификационной записи о пользователе в операционной системе AIX 5L. Такая конфигурация требует создания составного загрузочного модуля KRB5ALDAP в операционной системе AIX 5L. Для конфигурирования операционной системы AIX 5L нужно выполнить следующие действия.

  1. Инсталлируйте набор файлов сервисов сетевой аутентификации Network Authentication Services (NAS).

    Должны быть инсталлированы следующие наборы файлов NAS с компакт-дисков AIX 5L Expansion Pack:

    • krb5.client
    • krb5.lic

  2. Настройте операционную систему AIX 5L для работы с Windows KDC.
    1. Запустите команду configure.krb5.
      /usr/krb5/sbin/config.krb5 -C -r <Windows domain name> -d <DNS domain> -c
      <Windows server name> -s <Windows server name>

      Например:
      # /usr/krb5/sbin/config.krb5 -C -r ADDOMAIN.ABC.COM -d abc.com -c 
      win2003.abc.com -s win2003.abc.com 
      Initializing configuration...
      Creating /etc/krb5/krb5_cfg_type...
      Creating /etc/krb5/krb5.conf...
      The command completed successfully.

      Для Windows KDC в имени Kerberos realm можно использовать только заглавные буквы. Настройки будут сохранены в файле /etc/krb5/krb5.conf.

    2. Windows поддерживает шифрование только des-cbc-md5 и des-cbc-crc. Уберите из параметров libdefaults файла /etc/krb5/krb5.conf все другие типы шифрования – они должны иметь значения, аналогичные следующим:
      [libdefaults]
            default_realm = ADDOMAIN.ABC.COM
            default_keytab_name = FILE:/etc/krb5/krb5.keytab
            default_tkt_enctypes = des-cbc-md5 des-cbc-crc
            default_tgs_enctypes = des-cbc-md5 des-cbc-crc
    3. Синхронизируйте часы AIX и сервера Windows.
    4. Запустите команду /usr/krb5/bin/kinit с действительным именем пользователя Windows и проверьте, что команда завершилась успешно. Также проверьте, чтобы команда /usr/krb5/bin/klist отображала удостоверения Kerberos пользователей, как показано в следующем примере.
      # /usr/krb5/bin/kinit foo 
      Password for foo@ADDOMAIN.ABC.COM:  <enter password>
      # /usr/krb5/bin/klist
      Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_0
      Default principal:  foo@ADDOMAIN.ABC.COM
      
      Valid starting     Expires            Service principal
      11/27/06 15:33:55  11/28/06 01:33:28  krbtgt/ADDOMAIN.ABC.COM@ADDOMAIN.ABC.COM
              Renew until 11/28/06 15:33:55
      #
  3. Сконфигурируйте LDAP в AIX 5L для использования Active Directory.

    Следуя вышеописанным инструкциям "Настройка AIX 5L для работы с Active Directory в режиме unix_auth" сконфигурируйте LDAP в AIX 5L LDAP для использования Active Directory с помощью команды mksecldap. Не устанавливайте атрибуты SYSTEM и registry для пользователей и не модифицируйте параметры default в файле /etc/security/user.

  4. Создайте составной загрузочный модуль KRB5ALDAP.

    Вручную вставьте следующие строки в файл /usr/lib/security/methods.cfg.

    KRB5A:
                 program = /usr/lib/security/KRB5A
                 options = authonly
                 
    KRB5ALDAP:
                 options = db=LDAP,auth=KRB5A

    Если же проверка TGT не требуется, составной загрузочный модуль может быть установлен как описано далее. В таком случае вы можете пропустить этапы 5 и 6, и перейти к этапу 7.

    KRB5A:
                  program = /usr/lib/security/KRB5A
                  options = tgt_verify=no
     
    KRB5ALDAP:
                  options = db=LDAP,auth=KRB5A
  5. Задайте главные правила (host principal) AIX 5L на сервере Windows.
    1. Создайте учетную запись на сервере Windows. В качестве имени пользователя используйте имя хоста AIX 5L , например, aixhost.
    2. Свяжите учетную запись с AIX 5L host principal, запустив команду ktpass на сервере Windows, и записав результат keytab команды ktpass в файл.
    ktpass – princ host/aixhost.ibmabc.com@ADDOMAIN.ABC.COM –mapuser 
    aixhost –pass password –out aixhost.keytab
  6. Скопируйте файл aixhost.keytab в систему AIX, и добавьте ключ к AIX keytab, используя утилиту ktutil.
    # /usr/krb5/sbin/ktutil
    ktutil: rkt aixhost.keytab
    ktutil: wkt /etc/krb5/krb5.keytab
    ktutil: q
  7. Разрешите пользователям Windows входить в операционную систему AIX 5L.

    Чтобы пользователи Windows могли войти в операционную систему AIX 5L с помощью механизма KRB5ALDAP, администратор должен запустить следующую команду в операционной системе AIX 5L:

    # chuser -R KRB5ALDAP SYSTEM=KRB5ALDAP registry=KRB5ALDAP foo

    где foo - это имя пользователя для нашего примера.

    После выполнения изменений пользователи Windows могут войти в операционную систему AIX 5L со своим паролем Windows и не потребуется создавать для них соответствующие идентификационные записи пользователей в операционной системе AIX 5L. Информация об идентификации пользователя извлекается из Windows Active Directory.

    Чтобы не повторять все эти процедуры для каждого пользователя Windows, которому нужно войти в систему AIX 5L, администратор может вручную отредактировать файл /etc/security/user и установить атрибуты SYSTEM и registry параметров по умолчанию в KRB5ALDAP. Если среди параметров default этих атрибутов нет, то их нужно добавить. Тогда параметры по умолчанию будут выглядеть примерно так:

    default:
    	...
    	SYSTEM = KRB5ALDAP
    	registry = KRB5ALDAP
    	...

    Если параметр по умолчанию изменен на KRB5ALDAP, то определенные здесь пользователи не смогут войти в систему AIX 5L до тех пор, пока их SYSTEM не будет установлен в значение "compat", а registry не будет установлен в значение "files". Администратор должен идентифицировать эти учетные записи и запустить следующие команды для каждого пользователя, чтобы осуществить изменения.

    # chuser SYSTEM=compat registry=files <local user>

После выполнения конфигурирования механизма KRB5ALDAP пользователи не смогут войти в систему AIX 5L со своим старым паролем LDAP, заданным в режиме unix_auth. С другой стороны, пользователи могут продолжать работать в системе AIX 5L с тем же паролем, если используется режим ldap_auth, потому что ldap_auth использует пароль Windows, тогда как режим unix_auth использует другой пароль.

Специфика работы с Active Directory

Этот раздел вкратце описывает случаи, с которыми вы можете столкнуться в процессе использования Microsoft Active Directory в качестве LDAP-сервера для клиентов AIX 5L.

Поддержка нескольких паролей в Active Directory
Известно, что Active Directory в своей базе данных пользователей поддерживает четыре основных атрибута пароля:

  • userPassword
  • unixUserPassword
  • msSFU30Password
  • unicodePwd

поэтому управление паролем в операционной системе AIX 5L может стать проблемой из-за этой специфики Active Directory. До сих пор не ясно, какие атрибуты клиента должны использоваться для управления паролем. Функция отображения атрибутов AIX 5L LDAP позволяет клиентам настроить управление паролями в соответствии с их нуждами.

Операционная система AIX 5L поддерживает два механизма аутентификации: unix_auth и ldap_auth . Для управления паролями в этих режимах аутентификации можно применять следующие стратегии:

режим аутентификации unix_auth
При использовании режима аутентификации AIX 5L unix_auth пароль в Active Directory должен быть зашифрован. Во время аутентификации зашифрованный пароль извлекается из Active Directory и сравнивается с результатом шифрования пароля, который ввел пользователь. По умолчанию операционная система AIX 5L использует атрибут msSFU30Password в Active Directory для Windows 2000 и 2003, и атрибут userPassword для Windows 2003 R2.

Если нужно использовать разные пароли, администратор делает это вручную, модифицируя файл /etc/security/ldap/sfu30user.map (или /etc/security/ldap/sfur2user.map, если Active Directory работает в Windows 2003 R2). Найдите строку, которая начинается со слова spassword и измените третье поле строки на имя атрибута пароля Active Directory. Посмотрите "LDAP Attribute Mapping File Format" в руководстве AIX 5L Security guide. Запустите команду mksecldap для конфигурации клиента AIX 5L LDAP после изменений или, если клиент AIX 5L уже сконфигурирован, запустите команду restart-secldapclntd для перезапуска демона secldapclntd, чтобы изменения вступили в силу.

В этом режиме аутентификации, клиент AIX 5L не может использовать атрибут unicodePwd, потому что он в формате unicode, а не в зашифрованном формате, как требует режим аутентификации unix_auth.

Недостатком использования режима аутентификации unix_auth является то, что пароли для систем AIX 5L и Windows могут оказаться разными, например, если пользователь меняет пароль клиента AIX 5L. Хотя пользователи могут использовать команду passwd клиента AIX 5L, чтобы их пароль был таким же как пароль Windows, клиент AIX 5L не обеспечивает автоматического изменения пароля, если пользователь меняет пароль в операционной системе AIX 5L.

режим аутентификации ldap_auth
С помощью режима ldap_auth операционная система AIX 5L аутентифицирует пользователя путем обращения к серверу через LDAP с именем и паролем пользователя. Для применения этого типа аутентификации Active Directory пароль AIX 5L должен быть связан с атрибутом Active Directory unicodePwd. При конфигурировании AIX 5L LDAP в режиме ldap_auth, команда mksecldap отображает атрибут пароля на атрибут Active Directory unicodePwd. Для использования этой функции нужен APAR IY91514; если он не инсталлирован, то посмотрите Microsoft Active Directory для изменения пароля вручную.

Атрибут unicodePwd используется, если пользователи работают с системами Windows. При отображении пароля AIX 5 L в unicodePwd пользователи, заданные в Active Directory, могут войти в системы Windows и AIX 5L с одним паролем. Операционная система AIX 5L обеспечивает использование unicodePwd только в режиме ldap_auth. Это также позволяет пользователям менять пароли из системы AIX 5L, таким образом, что эти изменения будут действовать и в системе Windows.

Управление группами с использованием группового атрибута Active Directory
Как и пароли, Microsoft Services for UNIX определяют многочисленные атрибуты:

  • memberUid
  • msSFU30MemberUid
  • msSFU30PosixMember

В качестве атрибутов memberUid и msSFU30MemeberUid можно задавать только имена пользователей для учетных записей, тогда как msSFU30PosixMember - только полное DN. Например, для учетной записи, foo (с фамилией bar), настройки Active Directory будут такими:

  • memberUid: foo
  • msSFU30MemberUid: foo
  • msSFU30PosixMember: cn=foo bar,cn=users,dc=ADdomain,dc=abc,dc=com

AIX 5L LDAP клиент может быть сконфигурирован для использования любого из этих атрибутов, поэтому вместе с вашим администратором Active Directory нужно выбрать используемые атрибуты. Рекомендуется использовать memberUid или msSFU30MemberUid вместо msSFU30PosixMember, так как это уменьшит трафик систем хранения и сетевой трафик и улучшит производительность. По умолчанию, команда mksecldap конфигурирует клиента AIX 5L LDAP к использованию атрибута msSFU30PosixMember с Active Directory для Windows 2000 и 2003, и атрибута memberUid с Active Directory для Windows 2003 R2. Выбор осуществляется в зависимости от поведения Active Directory - соответствующий атрибут выбирается при добавлении пользователя к группе из Windows. Стратегия вашей организации может требовать использование атрибутов членов группы, отличных от атрибутов по умолчанию, для поддержки нескольких платформ.

Что касается паролей, администратор AIX 5L может конфигурировать клиента LDAP для использования различных атрибутов участников группы. Вы можете менять отображение атрибутов, вручную редактируя файла отображения группы. Файл отображения группы – это /etc/security/ldap/sfu30group.map для Active Directory для Windows 2000 и 2003, и /etc/security/ldap/sfur2group.map для Active Directory для Windows 2003 R2. Найдите строку, которая начинается со слова "users" и замените третье поле строки нужным именем атрибута для членов групп. Просмотрите "LDAP Attribute Mapping File Format" в руководстве AIX 5L Security Guide.

Выполните команду mksecldap для конфигурации клиента AIX 5L LDAP после изменений. Или, если клиент AIX 5L уже сконфигурирован, запустите команду restart-secldapclntd для перезапуска демона secldapclntd, чтобы изменения вступили в силу.

Множественные организационные единицы
Active Directory обеспечивает доступ к информации пользователя через разные поддеревья. Большинство пользователей Active Directory определены в поддереве cn=users,..., но некоторые могут быть в другом поддереве. Сервер Active Directory также может иметь многочисленные заданные организационные единицы, каждая из которых содержит набор пользователей. Свойство поддержки множественных базовых DN операционной системы AIX 5L может быть использовано для конфигурации с сервером Active Directory. Подробнее об этом - в следующем разделе.


Поддержка нескольких базовых DN

В предыдущей версии относительно AIX 5L TL5, LDAP управление пользователями поддерживало одно базовое DN. Например, вы можете установить только один базовый DN пользователя /etc/security/ldap/ldap.cfg. Что касается многочисленных поддеревьев, атрибут userbasedn должен указать на общего родителя всех поддеревьев для всех пользователей, которых "видит" операционная система AIX 5L. Для этого все поддеревья должны иметь один суффикс, поскольку между суффиксами нет общих родительских элементов.

AIX 5L версии 5.3 TL 5 реализована поддержка нескольких базовых DN . Вплоть до 10 базовых DN для каждого объекта может быть установлено в файле /etc/security/ldap/ldap.cfg. Базовые имена сортируются по мере их появления в файле /etc/security/ldap/ldap.cfg. Операции команд AIX 5L осуществляются в соответствии с приоритетами базовых DN.

  • Операция запроса, такая, как команда lsuser, будет осуществлена в соответствии с приоритетами базовых DN до тех пор, пока не будет найдена соответствующая учетная запись.

    Ошибка возникает, если не будет найдено соответствие хотя бы с одним базовым DN. Запрос ALL приведет к возвращению всех учётных записей всех базовых DN.

  • Операция модификации, такая как команда chuser, будет выполняться до первого соответствия с учетной записью.
  • Операция удаления, такая как команда rmuser, будет выполняться до первого соответствия с учетной записью.
  • Операция создания, такая как команда mkuser, будет выполняться для первого базового DN. Операционная система AIX 5L не обеспечивает создание учетных записей для других базовых DN.

    AIX 5L LDAP клиент не обеспечивает создание пользователей и групп в Active Directory.

Администратор сервера каталогов отвечает за отсутствие противоречий в базе учетных записей. Из разных определений одной учетной записи, находящихся в разных поддеревьях, AIX 5L будет видеть только первое. Операция поиска остановится на первом соответствии. Подобным образом операции изменения и удаления будут выполняться до первого соответствия с учетной записью.

Команда mksecldap при конфигурации LDAP клиента находит базовый DN и сохраняет его в файле /etc/security/ldap/ldap.cfg. В случае множественных доступных базовых DN на LDAP-сервере для объектов, mksecldap использует случайным образом выбранное одно из этих имен. Для работы клиента AIX 5L LDAP с множественными базовыми DN нужно вручную отредактировать файл /etc/security/ldap/ldap.cfg после успешного выполнения команды mksecldap для конфигурирования клиента AIX 5L LDAP. Найдите соответствующее определение базового DN в файле и при необходимости добавьте дополнительное базовое DN. Клиент AIX 5L LDAP поддерживает до 10 базовых DN для каждого объекта; любые другие базовые DN будут игнорироваться.

Следующий пример показывает базовый DN для двух пользователей в /etc/security/ldap/ldap.cfg.

userbasedn: CN=Users,DC=ADdomain,DC=abc,DC=com 
userbasedn: OU=sales,OU=DomainControllers,DC=ADdomain,DC=abc,DC=com

Клиент AIX 5L также поддерживает фильтры и диапазон поиска, определённые пользователем, для каждого базового DN. Базовый DN может иметь собственный фильтр и диапазон, которые могут отличаться от одноуровневого базового DN. Фильтр может использоваться для определения набора учетных записей, которые будут видны операционной системе AIX 5L. Операционная система AIX 5L видит только учетные записи, прошедшие через фильтр.

В следующем разделе описаны форматы множественных базовых DN и форматы фильтра.


Расширенный формат базового DN

Операционная система AIX 5L V5.3 TL5 и более поздних версий также поддерживают расширенный формат имен баз (DN) для связки нужных полей filter и scope с каждым базовым именем DN с полями, разделенными знаком "?". Атрибуты scope и filter являются опциями. Форматы базовых имен DN, которые поддерживаются в AIX 5L:

  1. userbasedn: ou=people, cn=aixdata
  2. userbasedn: ou=people, cn=aixdata?scope
  3. userbasedn: ou=people, cn=aixdata??filter
  4. userbasedn: ou=people, cn=aixdata?scope?filter

Первый формат - это формат по умолчанию для демона secldapclntd . Второй и третий форматы позволяют ограничивать поиск, используя атрибут scope или filter соответственно. Четвертый формат использует как диапазон, так и фильтр.

Атрибут scope допускает следующие значения:

  • sub
  • one
  • base

Если поле диапазона не задано, то ему присваивается значение sub.

Атрибут filter позволяет сократить количество элементов, заданных на LDAP-сервере. Этот фильтр можно использовать для отображения в системе только тех пользователей, у которых есть определенные характеристики. Далее показаны форматы фильтров, где атрибут - это имя атрибута LDAP , а значение служит критерием поиска. В качестве значения можно использовать метасимвол "*".

  • (attribute=value)
  • (&(attribute=value)(attribute=value))
  • (|(attribute=value)(attribute=value))

Приложение A. Отображние схем Service for UNIX 3.0 и 3.5

Ниже приведены атрибуты файлов отображения пользователя и группы для Active Directory для серверов Windows 2000 и 2003 с установленным Microsoft Service для UNIX Версия 3.0 или 3.5. Файлы отображения поставляются вместе с AIX 5L V5.3 версии TL5.

Таблица 2. /etc/security/ldap/sfu30user.map
usernameSEC_CHARmsSFU30Names
idSEC_INTmsSFU30UidNumbers
pgrpSEC_CHARmsSFU30GidNumbers
homeSEC_CHARmsSFU30HomeDirectorys
shellSEC_CHARmsSFU30LoginShells
gecosSEC_CHARmsSFU30Gecoss
spasswordSEC_CHARmsSFU30Passwords
lastupdateSEC_INTmsSFU30ShadowLastChanges
maxageSEC_INTmsSFU30ShadowMaxs
minageSEC_INTmsSFU30ShadowMins
maxexpiredSEC_INTmsSFU30ShadowExpires
pwdwarntimeSEC_INTmsSFU30ShadowWarnings
#spasswordSEC_CHARunicodePwds

Последняя строка комментариев показывает отображение пароля, соответствующее режиму аутентификации ldap_auth.

Таблица 3. /etc/security/ldap/sfu30group.map
groupnamemsSFU30NamemsSFU30Names
idSEC_INTmsSFU30GidNumbers
usersSEC_LISTmsSFU30PosixMembers
#usersSEC_LISTmsSFU30MemberUids

Последняя строка комментариев показывает альтернативное отображение атрибута соответствия члена группы.


Приложение B. Схема отображения Windows 2003 R2

Атрибуты файлов отображения пользователя и группы для Active Directory для Windows 2003 R2 со схемой Windows R2. Эти отображения приведены в качестве образца и могут быть изменены при поставке.

Таблица 4. Отображение атрибутов пользователей для схемы Windows 2003 R2
usernameSEC_CHARuids
idSEC_INTuidNumbers
pgrpSEC_CHARgidNumbers
homeSEC_CHARunixhomeDirectorys
shellSEC_CHARloginShells
gecosSEC_CHARgecoss
spasswordSEC_CHARuserPasswords
lastupdateSEC_INTshadowLastChanges
maxageSEC_INTshadowMaxs
minageSEC_INTshadowMins
maxexpiredSEC_INTshadowExpires
pwdwarntimeSEC_INTshadowWarnings
#spasswordSEC_CHARunixuserPasswords
#spasswordSEC_CHARunicodePwds
Таблица 5. Отображение атрибутов группы для схемы Windows 2003 R2
groupname SEC_CHARcns
idSEC_INTgidNumbers
usersSEC_LISTmemberUids

Приложение C. Важные APAR

IY91514
APAR необходим операционной системе AIX 5L для работы с Active Directory на Windows 2003 R2 с новой схемой UNIX.
IY91922
Обеспечение изменения пароля в режиме ldap_auth. Windows Active Directory требует, чтобы изменение пароля через LDAP было выполнено через безопасное соединение. Пожалуйста, посмотрите руководство IBM Redbook Integrating AIX into Heterogenous LDAP Enviroment (см. Ресурсы) для конфигурации SSL в системе AIX 5L для работы с Active Directory.

Ресурсы

Научиться

Получить продукты и технологии

Обсудить

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=AIX и UNIX
ArticleID=210484
ArticleTitle=Управление пользователями AIX 5L с помощью LDAP
publish-date=04182007